Sélectionner une page


La recherche interne et les programmes de primes de bogues externes combinés ont découvert la grande majorité des problèmes de sécurité signalés dans les logiciels de l’entreprise.

Pour la deuxième année consécutive, la grande majorité des vulnérabilités trouvées dans les produits Intel – 92% – provenaient des investissements de sécurité de la société, en particulier des efforts de recherche internes et des récompenses de bogues externes, a découvert la société dans un nouveau rapport publié aujourd’hui.

Sur les 231 vulnérabilités signalées dans les produits Intel en 2020, 109 problèmes (47%) ont été identifiés par les employés d’Intel, tandis que 105 (45%) ont été signalés par des chercheurs externes participant à un programme de primes de bogues. Cela provient du rapport de la société « Sécurité des produits 2020 ». Bien que la société n’ait pas précisé exactement combien elle avait investi dans les différents programmes, Intel a déclaré avoir déboursé en moyenne 800 000 dollars par an en primes de bogues.

La société prévoit de poursuivre son approche à plusieurs niveaux de la sécurité, a déclaré Jerry Bryant, directeur des communications de sécurité pour le groupe Intel Platform Assurance and Security (PAS).

«La sécurité n’est pas un investissement ponctuel», dit-il. «Vous devez réfléchir à de bonnes pratiques de développement de la sécurité, les intégrer dans l’état d’esprit de votre entreprise, investir dans des processus de gestion des vulnérabilités et mener des recherches sur la sécurité de vos produits de manière continue, à la fois en pré-version et en transit.»

Le rapport souligne l’importance croissante des programmes de primes de bogues pour les développeurs d’applications et de logiciels. Il y a moins de cinq ans, de nombreuses entreprises continuaient de débattre de l’efficacité des programmes de primes aux bogues, mais la plupart apprécient leurs relations avec des chercheurs extérieurs.

Intel a lancé son propre programme de primes de bogues en 2018 lorsque la société a également lancé son groupe d’assurance et de sécurité des produits. L’effort en valait la peine. Alors qu’à peu près le même nombre de vulnérabilités a été détecté par des programmes internes et des récompenses de bogues externes au cours des deux dernières années, un tiers de vulnérabilités supplémentaires ont été signalées par le programme de récompenses de bogues en 2020-105 contre 70 en 2019.

Les chercheurs externes se sont généralement concentrés sur les pilotes logiciels plutôt que sur la recherche de vulnérabilités micrologicielles ou matérielles plus complexes qui ont tendance à avoir des impacts plus importants sur les plates-formes de traitement, de réseau et de graphiques qui sont au cœur des activités d’Intel. Les chercheurs internes de la société ont constaté que 69% des problèmes de sécurité liés au micrologiciel et 57% des problèmes matériels étaient rencontrés, selon le rapport.

«  »[T]La majorité des problèmes identifiés en externe étaient liés aux logiciels, qui consistaient principalement en des utilitaires logiciels et des pilotes logiciels pour les composants graphiques, réseau et Bluetooth. « Intel indiqué dans le rapport. «Bien qu’il s’agisse de questions importantes, le micrologiciel de notre produit est le fondement de la confiance dans nos plates-formes. Les données montrent que c’est le principal objectif de notre recherche sur la sécurité interne.

Seules 17 vulnérabilités ont été signalées par des chercheurs non liés à Intel ou faisant partie d’un programme de primes de bogues. Ces chercheurs comprennent des partenaires, des clients et des organisations Intel qui n’ont pas demandé de paiements de primes.

La plupart des vulnérabilités, 93, concernaient des pilotes et d’autres composants logiciels, tandis que 66 concernaient le micrologiciel et 58 une combinaison de micrologiciel et de logiciel. Le plus petit nombre de vulnérabilités (14) concernait le matériel tel que les processeurs. Vulnérabilités matérielles telles que Les défauts de conception de Spectre et Meltdown En raison de problèmes négligés lors de l’exécution spéculative des succursales, il est très difficile de corriger ou de désamorcer une fois le produit fabriqué.

Dans l’ensemble, les composants graphiques représentaient la plus grande part des vulnérabilités de sécurité à 22, avec près de la moitié classée comme élevée. Les failles de sécurité les plus critiques se sont produites dans le moteur de gestion et de sécurité convergés Intel (CSME), qui constitue la base de la base de confiance d’une plate-forme informatique Intel et de ses fonctions à partir de l’unité centrale (CPU), du micrologiciel ou du BIOS. et le système d’exploitation.

Dans l’ensemble, les plates-formes et logiciels Intel avaient six niveaux de gravité critiques, 80 élevés, 131 moyens et 14 faibles en 2020. Intel a identifié deux des vulnérabilités critiques et un peu plus de la moitié des vulnérabilités les mieux notées, selon le rapport.

Intel prévoit de continuer à investir dans la sécurité, mais la société n’avait pas d’objectifs budgétaires spécifiques pour ses programmes. Compte tenu de l’augmentation du nombre de vulnérabilités signalées par le biais des primes de bogues, l’entreprise devra peut-être anticiper une augmentation des paiements externes aux chercheurs.

«Nous ne pensons pas au budget, nous pensons à plus de capacités – tout ce dont nous avons besoin pour évoluer», dit Bryant. « Le groupe d’assurance et de sécurité des produits Intel se concentre sur des choses comme SDL, la recherche sur la sécurité répréhensible et la gestion des vulnérabilités. Ce genre de choses. Le budget ne fait pas partie du rapport parce qu’il bouge. »

Journaliste expérimenté en technologie depuis plus de 20 ans. Ancien ingénieur de recherche. Rédigé pour plus de deux douzaines de publications, dont CNET News.com, Dark Reading, MIT’s Technology Review, Popular Science et Wired News. Cinq prix pour le journalisme, dont celui de la meilleure date limite … Voir la bio complète

Littérature recommandée:

Plus d’informations





Source link

Recent Posts